Buenos días!

Hoy vamos a dedicar esta entrada a explicar el funcionamiento de la solución Palo Alto Traps. Quizás ya lo conocéis o habréis oído alguna de sus cualidades, pero vamos a ver un poco más en detalle el flujo de funcionamiento de esta magnífica solución.

1o – Servidor ESM

Es el servidor de Palo Alto Traps, ubicado en nuestro entorno. Conocido como Endpoint Security Manager (ESM) Server, su funcionalidad es básica en esta solución.

Su función principal es mantener la comunicación con todos los agentes del entorno y transmitir a WildFire (componente en el Cloud de Palo Alto) todos los aplicativos desconocidos, allí se analizará el comportamiento y se dará como resultado un veredicto, principalmente: Benigno o Malicioso. De esta forma, ESM conocerá el comportamiento que WildFire ve sobre un aplicativo concreto y comunicará a los agentes el resultado.

ESM aprenderá todos los Hash y veredictos que circulen por él, de este modo, podrá dar una respuesta más rápida a los agentes que en futuro puedan volver a preguntar.

2o – Endpoints

Equipos de usuarios y servidores, todo endpoint debe tener instalado el Agente de Traps, configurado para conectar hacia el servidor ESM del entorno.

De esta forma, el agente de Traps monitoriza localmente todos los procesos que se ejecutan en CPU y RAM, si en algún momento se observa algún comportamiento anómalo o malicioso, automáticamente Traps bloqueará el proceso impidiendo que la amenaza se lleve a cabo.

El uso de recursos del agente Traps sobre un endpoint es de aproximadamente:

  • 0,1 % de uso en CPU
  • 50MB de uso en RAM

En todo momento, podremos abrir la consola del agente endpoint:

Traps Endpoint Agent

3o – Flujo y análisis de amenazas

El flujo de trabajo de Traps se resume en el siguiente esquema:

ESM flujo

Inicialmente, el agente de Traps (Endpoint agent) detecta un Hash nuevo y envía la consulta al servidor ESM.

El servidor ESM revisa si el Hash ya existe en su base de datos y aplica la acción correspondiente, en caso que no lo tenga registrado previamente lo envía junto con un sample del aplicativo a WildFire para ser analizado en detalle por el Cloud de Palo Alto.

WildFire, después de analizar el comportamiento, envía el veredicto a ESM que, a su vez, lo registra en su base de datos y lo envía al agente Traps del endpoint.

ESM Wildfire hash

Nota: El veredicto de Wildfire puede tardar entre 2 y 10 minutos.

El agente Traps permitirá o bloqueará la ejecución de cada proceso, en base a la acción definida para su Hash.

Experiencia con la solución

En Ncora hemos implementado esta solución de Palo Alto en distintos entornos productivos y, después de haber realizado numerosas pruebas y haber trabajado en profundidad con ella, nuestra experiencia ha sido muy positiva.

Desde hace ya tiempo consideramos que es una solución muy completa y la recomendamos a todos nuestros clientes.

Si deseas más información sobre este producto no dudes en escribirnos a comercial@ncora.com.

Un saludo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Post Relacionados: